CFHTTP: узнайте поддерживаемую версию SSL и протестируйте auth.net с SSL 3.0 - PullRequest
2 голосов
/ 18 февраля 2009

Я недавно получил электронное письмо от Authorize.net со словами:

В течение недели с 16 по 20 марта 2009, Authorize.Net будет осуждая всякую устаревшую поддержку Протокол SSL 2.0. Изменения имеют недавно была внесена на платежную карту Промышленный стандарт безопасности данных (PCI DSS), которые сделали использование SSL 2.0 нарушение PCI DSS.

Итак, вопрос: как убедиться, что мои приложения ColdFusion, использующие cfhttp для связи со службой auth.net, не сломаются в марте?

Попытка выяснить, какие версии SSL поддерживаются, но не может найти такую ​​информацию.

Есть предложения?

EDIT

Найдено обсуждений: one & two . Кажется, что единственный надежный способ - это обновление до CF8.

Итак, теперь другой вопрос: как проверить мой код с новым протоколом auth.net? Есть ли способы переключить dev env перед выходом в эфир?

Также я отправил электронное письмо в службу поддержки auth.net с этими вопросами. Если они дадут мне решение - опубликуйте здесь.

Ответы [ 2 ]

1 голос
/ 18 февраля 2009

Вот хорошая статья на www.talkingtree.com по этому вопросу:

Метки протокола ColdFusion CFHTTP, CFINVOKE, поддержка CFLDAP SSLv2

Похоже, CF8 - первая версия, поддерживающая SSLv3.

Вы также можете получить очень грязные руки и делать запросы SSLv3 напрямую, используя Java . Это, конечно, потребовало бы изменения рабочего кода для эмуляции функциональности, которая будет естественным образом реализована в CF8. Но если вам не подходит обновление, возможно, это жизнеспособная альтернатива.

Боюсь, я не могу много рассказать о том, как проверить ваш код на Authorize.net.

0 голосов
/ 26 февраля 2009

Хорошо, наконец-то говорят Боги - Разработчик Auth.net ответил:

Мы рекомендуем каждому пользователю проверить их сервер SSL-шифрование настройки протокола. Если вы не уверены где их найти в поиске гугл тип сервера вместе с SSL 3.0 должен предоставить полезную информацию в это отношение. Дополнительно сервер ресурсы поддержки должны обеспечить это информация.

Это изменение было опубликовано в тестовая среда . Вы можете использовать следующий общий тестовый аккаунт для цели тестирования, если вы хотите:

Логин ID: xxxxxxxx

Пароль: xxxxxxxxx

URL для входа: https://test.authorize.net

Идентификатор входа в API: xxxxxxxx

Ключ транзакции: xxxxxxxxx

Опубликовать на URL: https://test.authorize.net/gateway/transact.dll

Примечание: это новый тестовый аккаунт, но я думаю, что все тестовые аккаунты сейчас изменены, попробую протестировать.

По крайней мере, теперь я могу проверить свои транзакции в песочнице, прежде чем изменения вступят в силу, вот чего я хотел.

...